我有一个PCAP文件,是给我进行取证挑战的。 PCAP使用TLS版本1加密了流量。我已经研究过BEAST攻击,但是没有工具可以做到这一点。有没有办法只使用我在PCAP文件中的数据包来解密Wireshark中没有私钥的流量?我是否可以从证书交换中获取私钥或主密钥日志或其他内容?我找不到任何不涉及访问私钥的在线教程。任何帮助表示赞赏。
更新:
我后来的研究表明,TLS版本1确实存在漏洞,而且可能会有漏洞,但我需要访问实际的主机,而不仅仅是其流量的PCAP。
答案 0 :(得分:0)
如果你有主秘密,你可以做点什么。
看看"使用(Pre)-Master-Secret" SSL page of the Wireshark wiki上的部分。您需要一个相当新的Wireshark版本,它增加了设置主密钥的能力(而不是期望服务器的私钥)。这也应该有助于Ephemeral Diffie-Helmann密码套件。
有关Wireshark Q& A网站this question的详细信息。